Volver al inicio
TOKREPO · ARSENAL
Estable

Seguridad de Contenedores

Registro Harbor, escáneres Grype + Syft, linter IaC Checkov, CrowdSec, Cilium eBPF — parchea tu cadena antes que otros.

6 recursos

Qué incluye este pack

Este pack reúne las seis herramientas open-source a las que la mayoría de equipos llegan tras abandonar plataformas comerciales de seguridad de contenedores. Juntas cubren registro de imágenes, escaneo, linting de infraestructura como código y defensa en runtime — las cuatro capas que aparecen en toda postmortem de cadena de suministro.

# Recurso Capa Por qué está aquí
1 Harbor Registro Registro graduado por CNCF con scan, firma y replicación integrados
2 Grype Scan imagen Escáner de vulnerabilidades que lee imágenes OCI directamente
3 Syft SBOM Genera Software Bill of Materials de cualquier imagen o filesystem
4 Checkov IaC Lintea Terraform, Kubernetes, Helm, CloudFormation con 1000+ políticas
5 CrowdSec Runtime Detección comportamental + blocklist colaborativa para tráfico vivo
6 Cilium Red Networking basado en eBPF, NetworkPolicy, observabilidad Hubble

La separación importa: registro sin scan es teatro; scan sin SBOM da números CVE pero ninguna superficie de remediación; runtime sin política de red detecta intrusión pero no contiene el radio de explosión.

Por qué la seguridad de contenedores importa ahora

La ola de incidentes de cadena 2024-2025 (xz-utils, polyfill.io, gusanos npm) dejó algo concreto: el binario que despliegas es la suma de cada dependencia que no auditaste. Una imagen moderna combina SO base, runtime de lenguaje, capa de aplicación y herramientas de build — cuatro cadenas apiladas. El coste de una transitiva comprometida es el mismo si tienes 5 personas o 5000.

Los escáneres comerciales (Snyk, Wiz, Aqua) funcionan, pero piden $30-100 por nodo al mes y envían telemetría a su nube. El pack open-source aquí entrega:

  • Scan IaC pre-merge (Checkov en CI atrapa buckets S3 mal configurados, securityContext faltante, secretos expuestos antes del review)
  • Scan de imagen post-build (Grype + Syft en cada push a Harbor — falla el build si CVSS ≥ 7)
  • Defensa runtime (CrowdSec ingiere logs nginx/Traefik y comparte IPs atacantes con 100k+ peers)
  • Contención de red (Cilium NetworkPolicy significa que un pod comprometido no pivota a tu DB)

Instala en un comando

# Instala el pack completo en el proyecto actual
tokrepo install pack/container-security

# O elige recursos individuales
tokrepo install grype
tokrepo install checkov

El TokRepo CLI escribe configs de escáner, plantillas de CI y snippets de Helm values en tu repo. Cada página de recurso documenta los flags que Anchore, Bridgecrew, Isovalent y el equipo Harbor recomiendan para producción.

Errores comunes

  • Escanear solo tags latest. Pin a digests en manifiestos de producción; latest deriva y tu historial de scans pierde sentido.
  • Tratar CVSS como prioridad. Un CVSS 9.8 en una imagen base solo de dev que nunca expones es menos prioritario que un CVSS 6.5 en tu proxy edge. Combina output de Grype con análisis de alcanzabilidad runtime.
  • Saltar generación de SBOM. Cuando aterrice el próximo backdoor estilo xz, los equipos con SBOMs Syft en almacén responden "¿estamos expuestos?" en minutos. Sin SBOM, una semana.
  • Checkov como única gate IaC. Checkov detecta patrones malos conocidos pero no atrapa lógica de negocio (e.g. rol IAM válido técnicamente pero con demasiados permisos). Empareja con tfsec u OPA para segunda pasada.
  • CrowdSec sin revisar scenarios. Los scenarios por defecto bloquean atacantes obvios pero pueden falsear con crawlers agresivos. Afina parsers/scenarios o bloquearás tu propio monitoreo.

Cuándo este pack solo no basta

Si corres Kubernetes a escala, añade Falco para detección runtime nivel syscall (es la herramienta runtime original — Tetragon de Cilium ahora se solapa pero el corpus de reglas Falco es mayor). Para secretos específicamente, añade Vault o Infisical — ninguno está en el pack porque la gestión de secretos es otro problema. Para procedencia de cadena (quién construyó esta imagen, en qué runner), mira Sigstore + atestaciones in-toto; Harbor soporta cosign signing nativamente, así que el camino es corto.

INSTALAR · UN COMANDO
$ tokrepo install pack/container-security
pásalo a tu agente — o pégalo en tu terminal
Qué incluye

6 recursos listos para instalar

Script#01
Harbor — Cloud Native Trusted Container Registry

Harbor is a CNCF-graduated open-source container registry that stores, signs, and scans container images. Vulnerability scanning, RBAC, replication, and OCI support.

by Script Depot·128 views
$ tokrepo install harbor-cloud-native-trusted-container-registry-c9f4655f
Config#02
Grype — Container Image Vulnerability Scanner

Grype is a vulnerability scanner for container images and filesystems. It matches installed packages against vulnerability databases (CVE, GHSA) to identify known security issues — essential for securing your container supply chain.

by AI Open Source·98 views
$ tokrepo install grype-container-image-vulnerability-scanner-87aec817
Script#03
Syft — Generate Software Bill of Materials from Container Images

Syft generates Software Bill of Materials (SBOMs) from container images and filesystems. It detects packages across OS and language ecosystems, outputting SPDX, CycloneDX, and custom formats for compliance, vulnerability scanning, and supply chain security.

by Script Depot·91 views
$ tokrepo install syft-generate-software-bill-materials-container-images-87cf1b00
Script#04
Checkov — Static Security Scanning for IaC and Containers

Checkov is a Bridgecrew static-analysis tool that scans Terraform, CloudFormation, Kubernetes, Helm, Dockerfile, and more for misconfigurations and policy violations before anything is deployed.

by Script Depot·99 views
$ tokrepo install checkov-static-security-scanning-iac-containers-accdd5bb
Config#05
CrowdSec — Open Source Collaborative Security Engine

CrowdSec is a collaborative security engine that analyzes logs, detects attacks, and shares threat intelligence. Like fail2ban but with crowd-sourced IP reputation and modern architecture.

by AI Open Source·107 views
$ tokrepo install crowdsec-open-source-collaborative-security-engine-ed64dcb7
Config#06
Cilium — eBPF-Powered Cloud Native Networking & Security

Cilium provides high-performance networking, observability, and security for Kubernetes using eBPF. CNI plugin, service mesh, and network policy — all kernel-level.

by AI Open Source·98 views
$ tokrepo install cilium-ebpf-powered-cloud-native-networking-security-30500e42
FAQ

Preguntas frecuentes

¿Es gratis correr todo el pack?

Sí. Cada herramienta es open source bajo licencias permisivas (Apache 2.0 o MIT). Necesitarás cómputo para Harbor (su almacén escala con cantidad de imágenes) y un Postgres para metadatos Harbor, pero sin licencia por asiento. CrowdSec ofrece tier pago con consola centralizada, pero el agente + blocklists comunitarios son gratis y esa es la parte que carga peso.

¿Cómo se compara con Snyk Container o Wiz?

Snyk y Wiz añaden UI gestionada, priorización CVE curada por el vendor y reportes SOC 2. Este pack da la misma profundidad de scan (la BD vulnerabilidades de Grype viene de los mismos feeds NVD + GHSA) sin coste por nodo, pero el dashboard lo construyes o canalizas a Grafana / DefectDojo. Elige gestionado si reportes de compliance es el cuello; elige este pack si tiempo de ingeniería y self-hosting son más baratos que cuotas por asiento.

¿Funcionará con Claude Code o Cursor para remediación automática?

Sí. Claude Code puede correr grype <image> y checkov -d . directamente, parsear el JSON y proponer parches como PRs. Las páginas de recurso TokRepo incluyen prompts subagente que conectan Grype + Checkov en un comando slash security-fix. Usuarios Cursor lo logran vía reglas custom — ambas superficies documentadas por recurso.

¿Qué diferencia a Grype de Syft?

Syft genera un SBOM — el inventario de cada paquete en tu imagen. Grype toma ese SBOM (o escanea una imagen directamente) y empareja cada paquete contra bases de vulnerabilidades. Casi siempre los corres juntos: Syft una vez en build, Grype en schedule contra el SBOM (barato) más en cada push nuevo (atrapa CVEs nuevas en imágenes viejas).

¿Trampa operativa al desplegar Cilium?

Cilium reemplaza kube-proxy por defecto en muchos paths, y migrar desde un cluster en marcha requiere cuidado — la resolución DNS puede romperse durante el cutover si pods hostNetwork no se contemplan. Usa modo --kube-proxy-replacement=partial primero, valida con cilium connectivity test, luego pasa a strict. No expongas Hubble UI en ingress público sin auth delante.

MÁS DEL ARSENAL

12 packs · 80+ recursos seleccionados

Explora todos los packs curados en la página principal

Volver a todos los packs
Inicio🔍Buscar👤Yo